D
где то видел хранение паролей в зашифрованном виде, не вспомню где
Size: a a a
2020 October 02
KZ
hashicorp vault
KZ
параноик блядь
KZ
забавно просто немного, извините
.
какой смешной параноик - раскидывать логины-паролм от базы на каждого клиента
Просто так видно какой именно логин протек
.
Если что-то таки произошло
KZ
не уверен, что эластик позволяет много пар задать
KZ
да о гораздо логичнее хранить чувствительную инфу на одной машине, а не куче
KZ
впрочем, куда мне, я не параноик
D
да о гораздо логичнее хранить чувствительную инфу на одной машине, а не куче
насколько я понимаю, td-agent не позволяет так сделать, если только не заморачиваться с отправкой всего на один сервер и от туда уже слать в еластик
KZ
так о чем и речь
KZ
во-первых, вы пароль расшарили на кучу машин (это как минимум в случае смены менеджить неудобно)
KZ
во-вторых, вместо узкого апи записи логов по gelf/logstash/etc протоколу оставили всю базу
KZ
даже если вам озалупят один из продюсеров, максимум что смогут сделать - это заспамить логстеш логами (что довольно тривиально можно побороть). а в противном случае сольют базу вашего сиема
D
спасибо за подсказки. Пока тестирую все находится в локалке. Нашел это:
https://www.elastic.co/guide/en/beats/filebeat/7.9/keystore.html
https://www.elastic.co/guide/en/beats/filebeat/7.9/keystore.html
KZ
это не решит второй пункт
D
и тогда надо проверить разрешение юзера на чтение логов
D
оставить только запись и все
D
это решит второй пункт?
KZ
не решит третью проблему с DoS